[SPIKE] POC zu Gitlab Dependency Scanning

Ziel

Ziel dieses Spike ist es Gitlab Ultimates Dependency Scanning auszuprobieren und einen lauffähigen Proof Of Concept für die Verwendung zu erstellen.

Problemstellung

Momentan betrieben wir Dependency Track als Continuous Dependency Scanning tool um Sicherheits-, sowie rechtliche Risiken der Organisation zu erfassen und zu minimieren. Da für Dtrack momentan kein E2E Prozess formalisiert ist, soll das Dependency Scanning Feature von Gitlab Dependency Track ersetzen und die Verantwortung im Sinne von DevOps in die Hände der Software Teams legen.

Zu beantwortende Fragen / Scope

Out Of Scope

• Container Scanning

Deliverables

• Ein Proof of Concept für die Erstellung von SBOMs und Integration in Gitlabs Scanning Mechanismus
• Follow-Up Stories für die Abschaltung von DTrack
• Dokumentation: bspw. ein How-To Guide für Dependency Scanning